Como realizar buscas de arquivos maliciosos em seu site

Ademilton Filho junho 30, 2022agosto 7, 2022

Segurança é um item essencial na web hoje. A SOLOWEB sempre se preocupa em entregar e gerenciar os produtos e serviços sempre nos padrões de confiabilidade e segurança. Mas como sabemos, vai sempre existir uma brecha encontrada para quebrar a segurança do seu site/servidor, para isso não ocorrer devemos sempre estar atentos para realizar manutenções de segurança e assim evitar transtornos futuros que é a perda do seu site ou até mesmo seu servidor.

Esta é apenas umas das diversas técnicas que deverá executar diariamente juntamente com as demais técnicas e com outras ferramentas de anti-vírus e anti-malwares para proteger seu site. Recomendamos automatizar este processo com script Shell para ser notificado caso algo fora do normal ocorra. Se tiver dificuldades entre em contato conosco, por meio dos nossos canais de atendimento www.soloweb.com.br, temos o prazer em ajudar.

Antes de começar com o tutorial vamos passar algumas dicas de segurança importante que pode livrar você de um possível problema.

Aplique uma rotina de backup de preferência em um servidor diferente onde só sua equipe tenha acesso;
Sempre esteja atento a atualizações de sistemas, CMS, entre outros;
Cuidado com a instalação Aplicativos suspeitos(geralmente aplicativos crackeados);
Mantenha sua máquina (me refiro a máquina de acesso aos sites e servidores) sempre segura com aplicativos anti-vírus e anti-malwares.

Seguindo essas dicas você poderá ficar tranquilo em relação a qualquer ataque em seu site. Mas mesmo quando mantendo tudo isso, ainda assim é invadido/hackeado?

Precisando de uma hospedagem de site ou de um servidor dedicado personalizado, seja para ambiente de teste, desenvolvimento ou de produção? E com um suporte de especialistas, que ti, ajudam a resolver os problemas o mais rápido possível? A SoloWeb tem o prazer em ti, ajudar com isso. Entre em contato conosco e faça uma cotação agora mesmo, acesse: www.soloweb.com.br.

Mesmo com todos esses procedimentos seu site poderá ser hackeado, às vezes a atualização do CMS não chega a tempo e termina seu site sendo invadido, daí teremos que entrar em cena para “limpar todo na mão”.

A dica que vou passar aqui é super simples e funcional, o sistema operacional é o CentOS, mas da para utilizar em qualquer outro Linux.

Primeira mente você deverá acessar a pasta de publicação de site do usuário:

$ cd /home/usuario/public_html

Após acessar deverá verificar arquivos padrão do seu CMS com o comando “ls” um exemplo que vou colocar aqui é o WordPress:

$ ls
index.php        wp-blog-header.php    wp-cron.php        wp-mail.php
license.txt      wp-comments-post.php  wp-includes        wp-settings.php
readme.html      wp-config.php         wp-links-opml.php  wp-signup.php
wp-activate.php  wp-config-sample.php  wp-load.php        wp-trackback.php
wp-admin         wp-content            wp-login.php       xmlrpc.php

É possível verificar os arquivos ocultos com o comando “ls -a” não vai ser muito diferente o WordPress só possui o “.htaccess” como arquivo oculto então qualquer arquivo extra além do “.htaccess” se torna suspeito.

Bem, agora vem o pulo do gato, o Linux possui comandos para podermos verificar a data dos arquivos, porém isso pode ser feito sem problema com o comando ls basta digitar o seguinte comando:

$ ls -la
total 6793776
dr-xr-x---. 21 root    root         28672 Jun 28 22:13 .
dr-xr-xr-x. 20 root    root          4096 Jan 20 15:22 ..
-rw-r--r--   1 root    root             0 Jan 24 23:03 arquivo-suspeito.php

Com esse comando você vai conseguir ver a data do arquivo suspeito e agora com isso você vai ter uma noção da data que ocorreu a invasão e assim rastrear todos arquivos inseridos nessa data e modificados com um comando muito simples de fazer que é o “find”.

$ find . -name "*.php" -exec ls -la {} \; | grep "Jan 24"

Para entender um pouco esse comando vamos descrever seu funcionamento:

“find” comando de busca você pode conhecer mais um pouco neste link.
Após o find vem o “.” nele você ta informando o diretório corrente.
“-name” esse parâmetro é para informar o nome do arquivo onde a saída vai ser exatamente o que foi digitado;
“*.php” aqui você informa que precisa de todas as saídas de arquivos da extensão php.
“-exec” executa comando se o status de saída zero for retornado. Todos os argumentos para find serão considerados como argumentos do comando até que um argumento consistido por ‘;’ seja encontrado.
“ls -la” já foi explicado é o comando com a listagem de arquivos.
“{}” aqui você esta informando que a saída da busca vai ser usada como parâmetro do comando “-exec”.
“\;” Informa que no final da saída encerra o comando.
“grep “Jan 24”” aqui você consegue filtrar apenas os resultados referente a esse dia

Pronto, assim você vai conseguir visualizar todos os arquivos modificados/inseridos nessa data. Depois disso agora é só investigar os arquivos, onde você poderá excluí-los ou guardar para estudar.

E lembrando que a SOLOWEB além de oferecer Hospedagem de Sites, Servidores Dedicados, Servidores VPS com o menos custo do Brasil, também desenvolve soluções de software e realiza gerenciamento e monitoramento de servidores para sua empresa, faça uma cotação sem custo, acesse: www.soloweb.com.br

Esperamos ter ajudado com mais esta dica, e siga nos, nas redes sociais para mais tutoriais, e se precisar de nossa ajuda estamos a disposição: www.soloweb.com.br.

E lembrando que a SOLOWEB além de oferecer Hospedagem de Sites, Servidores Dedicados, Servidores VPS com o menor custo do Brasil, também desenvolve soluções de software e realiza gerenciamento e monitoramento de servidores para sua empresa, faça uma cotação sem custo, acesse: www.soloweb.com.br

Você pode gostar também

Softaculous: O que é? E quais funcionalidades?

Soloweb Dicas – Adicionando segurança na autenticação do wordpress com google recaptchar

Acessando recursos do dispositivo com JavaScript